【攻擊生命週期與防禦的對應架構】我們可以攻擊鏈的形式來看待每次攻擊行為,第一階段是偵查,接著開始試探、擴權,然後開始橫向移動,最後進行資料外洩。在威脅進逼的過程中,企業不能單靠預防,也需要涵蓋持續反應(response)與收集情資。(圖片來源/FireEye)
幾年前,在企業資訊安全產品的市場上,充斥著許多主打可防護APT進階持續威脅的解決方案,到了近期,強調提供網路威脅情報(Cyber Threat Intelligence)的系統與服務,逐漸浮上檯面,而這股風潮帶動了許多新創公司的成立。
雖然有不少廠商都在積極推動網路威脅情報的應用,但就解決方案的形式而言,不外乎下列兩種類型:指標資料餵送(indicator feed),以及分析報告。
可搭配多種類型的資安產品來建構網路威脅情報環境
企業對於威脅情資的運用,不能僅將當成工具性、功能性的作法,然而,落實在資安產品當中,仍然值得關注。
綜觀各家廠商的作法,我們看到Team T5公司所提出的分類架構,是當中最有系統性。
在這個架構下,最底層是可透過網路威脅情報平臺(Threat Intelligence Platform)的產品,來貫穿全局,在這之上,可區分為三:資料彙整(Aggregation)、資訊的分析(Analysis),以及基於情報的行動(Action)。
網路威脅情報平臺
Team T5列出了6套解決方案,其中,IBM X-Force、EclecticIQ Platform和ThreatScap都是需要付費的,MISP和MITRE CRITS是免費的,而Threat Connect是提供免費和付費兩種模式。
以IBM XForce的安全威脅情報資料庫為例,根據該公司資訊安全事業部協理金天威的介紹,它每天監看150億個安全事件,蒐集來自2.7億個端點的惡意程式威脅情報、250億個網頁與影像的威脅資訊、逾800萬筆的垃圾訊息,以及網釣攻擊情報,並列出近100萬個惡意的IP位址。
CTI平臺以網頁入口整合資安新聞與建議
圖中是IBM X-Force安全情報資料庫系統,提供給付費用戶的入口網站介面X-Force Exchange,當中列出許多最新的資安建議與新聞。(圖片來源/IBM)
資料彙整
● 安全事件管理系統(SIEM)、網路安全閘道設備:大部分為付費產品,以SIEM而言,像是HPE ArcSight、IBM QRadar,AlienVault則提供了開放原始碼的版本,以及付費版本,另外,中華電信與精誠資訊合作的EyeQuila,也是這類產品。而Cisco Source Fire AMP雖然是網路安全應用方案,但也有資料彙整機制。
● 端點鑑識:若要從個人端電腦進行資料彙整,Team T5選了6套產品,其中,付費產品有Verint公司的XecProbe、Crowdstrike的Falcon Host、FireEye MIR,以及Guidance EnCase Cyber Security、Carbon Black,而免費的方案則有Google Rapid Response(GRR),以及FireEye Mandiant RedLine。
● 情報餵送:對於威脅情報的指標資料餵送服務,Team T5挑選的均是付費服務,例如,FireEye的Mandiant、iSIGHT Partners,以及CrowdStrike、Dell SecureWorks、LookingGlass、iDEFENSE。
其中,FireEye在臺灣的知名度較高,也經常發出各種資安報告,以iSIGHT Partners而言,用戶可存取MySIGHT Intel Portal的入口網站,也可以運用iSIGHT API與SDK來整合。
而在CrowdStrike,其經銷商瑞奇數碼技術經理呂建鋒表示,允許用戶以Rest API方式,將威脅情資資料匯入SIEM或SOC平臺予以整合,並且透過威脅情資平臺,查看威脅分析報告、攻擊者活動情形,以及篩選與企業自身相關的情資、設定警示,亦可將企業發現的可疑檔案上傳交由專家分析,並提供報告。
資訊分析
● 沙箱:在這類產品當中,Team T5選了FireEye MVX、Damballa、Lastline,以及ThreatTrack、ThreatGRID等付費產品,若要搭配免費方案,他們列舉的是Cuckoo。
● 分析工具:若要進行威脅情報的分析,Team T5列出Maltego、DomainTools、ThreatCrowd和PassiveTotal,DomainTools僅有付費版本,ThreatCrowd則是免費,其他皆有免費版本與付費版本。
情報行動
● 結構化描述語言:Team T5選了STIX(Structured Threat Information Expression)、TAXII(Trusted Automated eXchange of Indicator Information),以及CybOX(Cyber Observable Expression),它們皆可免費使用。
● 資訊共享計畫:總共有TAXII、Libtaxii TAXII Library、Yeti TAXII Server,同樣是免費使用。
如何評估適合的網路威脅情報解決方案
其實,威脅情報的公開來源管道很多,企業的資安人員可以自行收集,例如連至各大資安公司的網站,檢視他們發布的部落格文章、白皮書。
若要更專業的內容,有些資安公司提供付費的情報服務,會有專人整理相關情報,提供第一手消息,甚至他們也派出專人回答問題。
不過,這麼多情報來源,企業該怎麼找出適合自己的內容?Team T5公司創辦人暨執行長蔡松廷提出一個簡單、直覺的判斷原則,那就是,企業可以從對方提供的威脅情報指標資料(indicator feed),與自己所面臨的敵人威脅來比對,確認是否一致。因為,對於我方所面臨的敵人,威脅情報供應者一無所知或未追蹤,顯然不合適。
實務上,可以請CTI廠商提供一些威脅情資,來比對企業內部過去發生的資安事件資料,看看是否符合,例如,我們發現的惡意程式中繼站,是否在他們提供的清單裡面?假設符合,接著再詢問對方能否進一步提供關於攻擊者的資料,例如對方的狀況,以及他們的最新動態。
相關報導 企業資安進入情報戰時代